Bağlantı Noktası Yansıtmayı Yapılandırma
Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9
Dekont
Bu makale yalnızca ATA Lightweight Gateway yerine ATA Gateway'leri dağıttığınızda geçerlidir. ATA Gateway'leri kullanmanız gerekip gerekmediğini belirlemek için bkz . Dağıtımınız için doğru ağ geçitlerini seçme.
ATA tarafından kullanılan ana veri kaynağı, etki alanı denetleyicilerinize gelen ve bu denetleyicilerden gelen ağ trafiğinin derin paket incelemesidir. ATA'nın ağ trafiğini görebilmesi için bağlantı noktası yansıtmayı yapılandırmanız veya Ağ TAP kullanmanız gerekir.
Bağlantı noktası yansıtma için, ağ trafiğinin kaynağı olarak izlenecek her etki alanı denetleyicisi için bağlantı noktası yansıtmayı yapılandırın. Genellikle, bağlantı noktası yansıtmayı yapılandırmak için ağ veya sanallaştırma ekibiyle çalışmanız gerekir. Daha fazla bilgi için satıcınızın belgelerine bakın.
Etki alanı denetleyicileriniz ve ATA Gateway'leriniz fiziksel veya sanal olabilir. Bağlantı noktası yansıtma için yaygın yöntemler ve dikkat edilmesi gereken bazı noktalar aşağıdadır. Daha fazla bilgi için anahtar veya sanallaştırma sunucusu ürün belgelerinize bakın. Anahtar üreticiniz farklı terminoloji kullanabilir.
Anahtarlı Bağlantı Noktası Çözümleyicisi (SPAN) – Ağ trafiğini bir veya daha fazla anahtar bağlantı noktasından aynı anahtardaki başka bir anahtar bağlantı noktasına kopyalar. Hem ATA Gateway hem de etki alanı denetleyicileri aynı fiziksel anahtara bağlanmalıdır.
Uzak Anahtar Bağlantı Noktası Çözümleyicisi (RSPAN) – Birden çok fiziksel anahtara dağıtılmış kaynak bağlantı noktalarından gelen ağ trafiğini izlemenizi sağlar. RSPAN, kaynak trafiği rspan tarafından yapılandırılmış özel bir VLAN'a kopyalar. Bu VLAN'ın ilgili diğer anahtarlara bağlanması gerekir. RSPAN, Katman 2'de çalışır.
Kapsüllenmiş Uzaktan Anahtar Bağlantı Noktası Çözümleyicisi (ERSPAN) – Katman 3'te çalışan cisco özel teknolojisidir. ERSPAN, VLAN gövdelerine gerek kalmadan anahtarlar arasındaki trafiği izlemenizi sağlar. ERSPAN, izlenen ağ trafiğini kopyalamak için genel yönlendirme kapsüllemesini (GRE) kullanır. ATA şu anda ERSPAN trafiğini doğrudan alamıyor. ATA'nın ERSPAN trafiğiyle çalışması için trafiğin kafasını kesebilen bir anahtar veya yönlendiricinin trafiğin kapsülünün kaldırıldığı ERSPAN hedefi olarak yapılandırılması gerekir. Ardından anahtar veya yönlendiriciyi SPAN veya RSPAN kullanarak ayrılmış trafiği ATA Gateway'e iletecek şekilde yapılandırın.
Dekont
Bağlantı noktası yansıtılan etki alanı denetleyicisi bir WAN bağlantısı üzerinden bağlıysa WAN bağlantısının ERSPAN trafiğinin ek yükünü işleyebileceğinden emin olun. ATA yalnızca trafik NIC'ye ve etki alanı denetleyicisine aynı şekilde ulaştığında trafik izlemeyi destekler. ATA, trafik farklı bağlantı noktalarına ayrıldığında trafik izlemeyi desteklemez.
Desteklenen bağlantı noktası yansıtma seçenekleri
| ATA Gateway | Etki Alanı Denetleyicisi | Dikkat edilmesi gerekenler |
|---|---|---|
| Sanal | Aynı konakta sanal | Sanal anahtarın bağlantı noktası yansıtmayı desteklemesi gerekir. Sanal makinelerden birinin tek başına başka bir konağa taşınması bağlantı noktası yansıtmasını bozabilir. |
| Sanal | Farklı konaklarda sanal | Sanal anahtarınızın bu senaryoya destek olduğundan emin olun. |
| Sanal | Fiziksel | Ayrılmış bir ağ bağdaştırıcısı gerektirir, aksi takdirde ATA ana bilgisayara gelen ve giden tüm trafiği, hatta ATA Center'a gönderdiği trafiği görür. |
| Fiziksel | Sanal | Sanal anahtarınızın bu senaryoyu desteklediğinden ve senaryoya göre fiziksel anahtarlarınızda bağlantı noktası yansıtma yapılandırmasını desteklediğinden emin olun: Sanal konak aynı fiziksel anahtardaysa, bir anahtar düzeyi aralığı yapılandırmanız gerekir. Sanal konak farklı bir anahtardaysa RSPAN veya ERSPAN* yapılandırmanız gerekir. |
| Fiziksel | Aynı anahtarda fiziksel | Fiziksel anahtar SPAN/Bağlantı Noktası Yansıtmayı desteklemelidir. |
| Fiziksel | Farklı bir anahtarda fiziksel | RSPAN veya ERSPAN*'ı desteklemek için fiziksel anahtarlar gerektirir. |
* ERSPAN yalnızca trafik ATA tarafından çözümlenmeden önce kapsülleme gerçekleştirildiğinde desteklenir.
Dekont
Etki alanı denetleyicilerinin ve bağlandıkları ATA Gateway'lerin zamanlarının birbirine beş dakika içinde eşitlenmiş olduğundan emin olun.
Sanallaştırma kümeleriyle çalışıyorsanız:
- ATA Gateway ile bir sanal makinedeki sanallaştırma kümesinde çalışan her etki alanı denetleyicisi için, etki alanı denetleyicisi ile ATA Gateway arasındaki benşimi yapılandırın. Bu şekilde, etki alanı denetleyicisi kümedeki başka bir konağa geçtiğinde ATA Gateway onu izler. Bu, birkaç etki alanı denetleyicisi olduğunda iyi çalışır.
Dekont
Çevre desteği farklı konaklarda (RSPAN) Sanaldan Sanala ise benşim konusunda endişelenmeniz gerekmez.
- ATA Gateway'lerin tüm DC'leri tek başına izlemek için düzgün boyutlandırıldığından emin olmak için şu seçeneği deneyin: Her sanallaştırma konağına bir sanal makine yükleme ve her konağa bir ATA Gateway yükleme. Her ATA Gateway'i, kümede çalışan tüm etki alanı denetleyicilerini izleyecek şekilde yapılandırın. Bu şekilde, etki alanı denetleyicilerinin üzerinde çalıştığı tüm konaklar izlenir.
Bağlantı noktası yansıtmayı yapılandırdıktan sonra, ATA Gateway'i yüklemeden önce bağlantı noktası yansıtmanın çalıştığını doğrulayın.